Дослідження відповідності вимогам Cyber Essentials для сертифікації компанії

2025;
: cc. 176 - 185
1
Національний університет «Львівська політехніка», кафедра захисту інформації
2
Національний університет «Львівська політехніка», Україна
3
Національний університет «Львівська політехніка» кафедра захисту інформації

Розглянуто вимоги Cyber Essentials для забезпечення базових контролів безпеки, які необхідно запровадити для захисту від найпоширеніших кіберзагроз. Cyber Essentials є базовою схемою сертифікації з кібербезпеки, яку розробив уряд Великої Британії, яка діє з 2014 року та згідно якої було сертифіковано більше 100 тис. організацій. На відміну від міжнародного стандарту ISO 27001:2022, в якому реалізовано комплексний підхід до побудови системи менеджменту інформаційної безпеки, Cyber Essentials є базовим рівнем захисту від кіберзагроз, який будується на базі п’яти основних контролів.
Проаналізовано використання таких контролів Cyber Essentials, як брандмауери, безпечна конфігурація систем, управління оновленнями, контроль доступу користувачів та захист від шкідливого програмного забезпечення. Впровадження цих контролів дає змогу значно знизити ризик кібератак та зберегти конфіденційність даних.
Проведено порівняння двох рівнів сертифікації Cyber Essentials: Cyber Essentials, що базується на самооцінці організації, та Cyber Essentials Plus, який включає технічну перевірку ІТ-інфраструктури для підтвердження відповідності вимогам безпеки. Обидва рівні сертифікації потребують незалежної оцінки для того, щоб забезпечити об’єктивність та неупередженість процесу сертифікації, а також для підвищення довіри до отриманого сертифікату.

  1. National Cyber Security Centre. URL: https://www.ncsc.gov.uk/ (дата звернення: 31.01.2025).
  2. ISO/IEC 27001:2022 Інформаційна безпека, кібербезпека та захист конфіденційності. Системи керування інформаційною безпекою. Вимоги URL: https://www.iso.org/standard/27001 (дата звернення: 31.01.2025).
  3. National Cyber Security Centre. 10 years of Cyber Essentials. URL: https://www.ncsc.gov.uk/files/10- years-of-Cyber-Essentials.pdf (дата звернення: 31.01.2025).
  4. IASME. URL: https://iasme.co.uk/ (дата звернення: 31.01.2025).
  5. National Cyber Security Centre. Cyber Essentials Readiness Tool Leaflet. URL: www.ncsc. gov.uk/files/ Cyber-Essentials-Readiness-Tool-Leaflet.pdf (дата звернення: 31.01.2025).
  6. National Cyber Security Centre. Cyber Essentials: Requirements for IT infrastructure. URL: https://www.ncsc.gov.uk/files/Cyber-Essentials-Requirements-for-Infrastructure-v3-1-April-2023.pdf (дата звер- нення: 31.01.2025).
  7. Khoma V., Abibulaiev A., Piskozub A., Kret T. Comprehensive Approach for Developing an Enterprise Cloud Infrastructure. CEUR Workshop Proceedings. 2024. Vol. 3654. Pp. 201–215.
  8. Sisodia J., Khan M. Understanding the Shared Responsibilities Model in Cloud Services. ISACA Journal. 2022. Vol. 3. URL: https://www.isaca.org/resources/isaca-journal/issues/2022/volume-3/understanding-the-shared- responsibilities-model-in-cloud-services (дата звернення: 31.01.2025).
  9. Козловська М., Піскозуб A. Розробка ефективних заходів веб-безпеки для мережі шляхом проведення тестування на проникнення з використанням фреймворку OWASP. Ukrainian Information Security Research Journal. 2024. Vol. 26. No. 1. С. 101–110. Doi: https://doi.org/10.18372/2410-7840.26.18833.
  10. Крет Т. Методика опису інформаційних активів організації при створенні системи менеджменту інформаційної безпеки. Комп’ютерні науки та інженерія : матеріали V Міжнародної конференції молодих вчених CSE-2011 (24–26 листопада 2011 р.) / Національний університет “Львівська політехніка”. Львів : Видавництво Львівської політехніки, 2011. C. 342–343.
  11. Гулак Н., Майстренко А. Автоматизація модуля інформаційних активів. Інформаційні технології та суспільство. Лип. 2024. 1 (12). 46-50. Doi: https://doi.org/10.32689/maup.it.2024.1.6.
  12. Badva P., Chowdhury P. D., Ramokapane K. M., Craggs B., Rashid A. Assessing Effectiveness of Cyber Essentials Technical Controls (ArXiv, abs/2406.15210). 2024. Doi: https://doi.org/10.48550/arXiv.2406.15210.